JWT

JWT (JSON Web Token) — это компактный, URL-безопасный формат токена для безопасной передачи утверждений между сторонами. Состоит из трёх частей: заголовок, полезная нагрузка и подпись.

Стандартный JWT (JWS) подписан, но не зашифрован — payload закодирован в Base64 и читаем. Для шифрования используйте JWE. Никогда не храните чувствительные данные в стандартном JWT.

HS256 использует симметричный ключ (один секрет для подписи и проверки). RS256 использует асимметричные ключи (приватный подписывает, публичный проверяет). RS256 лучше для распределённых систем.